|
대상 |
NT,
2000, 2003, 2008, 2012, 2016, 2019 |
위험도 |
상 |
Code |
W-26 |
|
|
취약점 개요 |
샘플 애플리케이션은 IIS 서비스 설치 시 디폴트로 설치되는 예제 스크립트로 제거하 는것이 안전함. IIS를 설치하면 기본적으로 예제와 설명서 등이 같이 설치되는데 이러 한 폴더들은 공격 대상으로 이용되거나 백도어가 심어질 위험이 있으므로 제거해 주 어야 함. |
|||||
|
보안대책 |
||||||
|
판단기준 |
양호: 해당 웹 사이트에 IISSamples, IISHelp 가상 디렉터리가 존재하지 않는 경우우 |
|||||
|
취약: 해당 웹 사이트에 IISSamples, IISHelp 가상 디렉터리가 존재하는 경우 ※ 조치 시 마스터 속성과 모든 사이트에 적용함 |
||||||
|
조치방법 |
사용하지 않는 경우 IIS 서비스 중지, 사용할 경우 가상 디렉터리 삭제 |
|||||
|
보안설정방법 |
||||||
|
■ IIS
5.0, 6.0 1. Sample 디렉터리 확인. 아래의 Sample 디렉터리를 확인함
2. Sample 디렉터리 확인 후 삭제 ※ IIS 7.0 이상 버전 해당 사항 없음 |
||||||
|
조치 시 영향 |
애플리케이션에서 “../” 와 같이 상대경로를 사용하도록 코딩되어 있을 경우 영향 있음 |
|||||
Comments
Post a Comment